मुफ्त स्कैन करें
CRITICALCVE-2026-40289CVSS 9.1

PraisonAI Browser Server अनाधिकृत WebSocket क्लाइंट को कनेक्टेड एक्सटेंशन सत्रों को हाईजैक करने की अनुमति देता है

प्लेटफ़ॉर्म

python

घटक

praisonaiagents

में ठीक किया गया

4.5.140

1.5.141

1.5.140

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-40289 praisonaiagents में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता हमलावरों को बिना किसी प्रमाणन के ब्राउज़र ऑटोमेशन सत्र को हाईजैक करने की अनुमति देती है। praisonaiagents के संस्करण 1.5.99 या उससे पहले के संस्करण प्रभावित हैं। इस समस्या को praisonaiagents संस्करण 1.5.140 में ठीक कर दिया गया है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को praisonaiagents सर्वर से जुड़े ब्राउज़र एक्सटेंशन के साथ सत्र को हाईजैक करने की अनुमति देती है। हमलावर तब ब्राउज़र के माध्यम से स्वचालित कार्यों को निष्पादित कर सकते हैं, संवेदनशील डेटा तक पहुंच सकते हैं, और सिस्टम पर नियंत्रण प्राप्त कर सकते हैं। चूंकि भेद्यता बिना किसी प्रमाणन के शोषण योग्य है, इसलिए इसका प्रभाव बहुत अधिक है। एक सफल शोषण के परिणामस्वरूप डेटा उल्लंघन, सिस्टम समझौता और संभावित रूप से अन्य प्रणालियों में पार्श्व आंदोलन हो सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में चिंताजनक है जहां praisonaiagents का उपयोग संवेदनशील कार्यों के लिए किया जाता है, जैसे कि वेब स्क्रैपिंग या परीक्षण स्वचालन।

शोषण संदर्भ

CVE-2026-40289 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इसके शोषण की संभावना को बढ़ाता है। NVD और CISA ने 2026-04-10 को इस भेद्यता को प्रकाशित किया। सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, शोषण की संभावना को मध्यम माना जाता है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing praisonaiagents for browser automation, particularly those with exposed internal networks or shared hosting environments, are at significant risk. Environments with legacy configurations lacking network segmentation are especially vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

  ps aux | grep praisonaiagents

• python / server:

  journalctl -u praisonaiagents --since "1 hour ago" | grep "websocket connection"

• generic web:

  curl -I http://<praisonaiagents_server>/ws

• generic web:

  grep -r "start_session" /etc/praisonaiagents/config.yaml

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.07% (20% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N9.1CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकpraisonaiagents
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
< 4.5.139 – < 4.5.1394.5.140
< 1.5.140 – < 1.5.1401.5.141
1.5.140

कमजोरी वर्गीकरण (CWE)

CWE-306

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के 1 दिन बाद पैच

शमन और वर्कअराउंड

praisonaiagents को संस्करण 1.5.140 में तुरंत अपडेट करना सबसे प्रभावी शमन है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप praisonaiagents सर्वर पर फ़ायरवॉल नियमों को कॉन्फ़िगर कर सकते हैं ताकि केवल विश्वसनीय नेटवर्क से /ws एंडपॉइंट तक पहुंच की अनुमति दी जा सके। इसके अतिरिक्त, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो Origin हेडर की कमी को पहचानता है और कनेक्शन को ब्लॉक करता है। praisonaiagents के कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि डिफ़ॉल्ट सेटिंग्स को सुरक्षित किया गया है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, praisonaiagents सर्वर पर लॉग की निगरानी करके और यह सुनिश्चित करके कि कोई अनधिकृत कनेक्शन प्रयास नहीं हो रहे हैं।

कैसे ठीक करें

PraisonAI को संस्करण 4.5.139 या उच्चतर में अपडेट करें, और praisonaiagents को संस्करण 1.5.140 या उच्चतर में अपडेट करें। इन संस्करणों में /ws WebSocket एंडपॉइंट के लिए अधिक मजबूत प्रमाणीकरण सत्यापन और मूल सत्यापन लागू किया गया है, जो सत्र अपहरण के जोखिम को कम करता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-40289 — RCE praisonaiagents में क्या है?

CVE-2026-40289 praisonaiagents में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो हमलावरों को ब्राउज़र ऑटोमेशन सत्र को हाईजैक करने की अनुमति देती है।

क्या मैं CVE-2026-40289 से praisonaiagents में प्रभावित हूं?

यदि आप praisonaiagents के संस्करण 1.5.99 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-40289 से praisonaiagents को कैसे ठीक करूं?

praisonaiagents को संस्करण 1.5.140 में तुरंत अपडेट करें।

क्या CVE-2026-40289 सक्रिय रूप से शोषण किया जा रहा है?

सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन PoC की उपलब्धता के कारण शोषण की संभावना को मध्यम माना जाता है।

मैं CVE-2026-40289 के लिए praisonaiagents आधिकारिक सलाहकार कहां पा सकता हूं?

praisonaiagents आधिकारिक सलाहकार के लिए praisonaiagents वेबसाइट या GitHub रिपॉजिटरी की जांच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें